セキュリティブログ

【EC-CUBE/脆弱性】EC-CUBEのクロスサイトスクリプティングの脆弱性(CVE-2021-20717)に関する注意喚起

2021.05.26

※EC-CUBEのクロスサイトスクリプティングの脆弱性(CVE-2021-20717)に関する注意喚起/JPCERT/CC/2021年5月10日

I. 概要

2021年5月7日、株式会社イーシーキューブから、EC-CUBEのクロスサイトスクリプティングの脆弱性(CVE-2021-20717)に関する注意喚起が公開されました。脆弱性が悪用された場合、ECサイトの管理者のブラウザー上で任意のスクリプトが実行され、結果としてECサイトへの不正アクセスや個人情報の窃取などが行われる可能性があります。株式会社イーシーキューブによると、本脆弱性を悪用した攻撃を確認しているとのことです。

EC-CUBE 4.0系: クロスサイトスクリプティング脆弱性について
https://www.ec-cube.net/info/weakness/20210507/

すでに攻撃に悪用されていることから、該当する製品を利用している場合には、早期にパッチ適用などの対応の実施を推奨します。詳細は、株式会社イーシーキューブが提供する情報をご確認ください。なお対策にあたっては、構築を担当された事業者にも連絡をとり対応を進めることも検討してください。

II. 対象

対象となる製品とバージョンは次のとおりです。

– EC-CUBE バージョン4.0.0から4.0.5まで

※ここまで

以下、株式会社イーシーキューブ様リリースです。

※【重要】EC-CUBE 4.0系における緊急度「高」の脆弱性(JVN#97554111)発覚と対応のお願い(2021/5/24 17:00 更新)(2021/05/24)/株式会社イーシーキューブ/2021年5月24日更新

本脆弱性告知ページの更新情報やその他脆弱性対応への最新情報は、EC-CUBE公式Twitterより発信いたします。
最新情報を取得されたい場合はTwitter公式アカウントのフォローをお願いいたします。

 

EC-CUBE4系ご利用の一部サイトにおいて、クロスサイトスクリプティング(XSS)脆弱性の悪用によるクレジットカード情報の流出が確認されています。
本脆弱性は、既に複数サイトでの攻撃を確認しており、緊急度が非常に高い脆弱性でございます。該当バージョンでサイトを運営されている場合は、緊急対応のためのHotfixパッチを公開しておりますので、内容をご確認のうえ早急にご対応をお願いいたします。
なおクラウド版 ec-cube.co ではHotfixパッチを適用済ですので安心してご利用ください。

※ここまで

お使いの方がいらっしゃいましたら、現状把握と最新版アップデートのご確認をお願い申し上げます。

また日頃より、イージス等のWAF製品導入など基本的な対策を行って頂きたいと思料するものです。